Ngày 16 tháng 2 năm 2023Ravie LakshmananLừa đảo quảng cáo / Phần mềm độc hại
Các cá nhân nói tiếng Trung Quốc ở Đông Nam Á và Đông Á là mục tiêu của một chiến dịch Google Ads giả mạo mới cung cấp trojan truy cập từ xa như FatalRAT cho các máy bị xâm nhập.
ESET cho biết các cuộc tấn công liên quan đến việc mua các vị trí quảng cáo để xuất hiện trong kết quả tìm kiếm của Google nhằm hướng người dùng đang tìm kiếm các ứng dụng phổ biến đến các trang web lừa đảo lưu trữ các trình cài đặt bị nhiễm trojan, ESET cho biết trong một báo cáo được công bố hôm nay. Các quảng cáo đã được gỡ xuống.
Một số ứng dụng giả mạo bao gồm Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao và WPS Office.
“Các trang web và trình cài đặt được tải xuống từ chúng hầu hết bằng tiếng Trung Quốc và trong một số trường hợp, cung cấp sai phiên bản phần mềm tiếng Trung Quốc không có ở Trung Quốc”, công ty an ninh mạng Slovakia cho biết và cho biết thêm họ đã quan sát thấy các cuộc tấn công từ tháng 8 năm 2022 đến tháng 1 năm 2023.
Phần lớn các nạn nhân sống ở Đài Loan, Trung Quốc và Hồng Kông, tiếp theo là Malaysia, Nhật Bản, Philippines, Thái Lan, Singapore, Indonesia và Myanmar.
Khía cạnh quan trọng nhất của các cuộc tấn công là tạo ra các trang web tương tự với các miền được đánh máy sai để truyền bá trình cài đặt độc hại, trong nỗ lực duy trì mưu mẹo, cài đặt phần mềm hợp pháp, nhưng cũng làm giảm trình tải triển khai FatalRAT.
Khi làm như vậy, nó cho phép kẻ tấn công kiểm soát hoàn toàn máy tính nạn nhân, bao gồm thực thi các lệnh shell tùy ý, chạy tệp, thu thập dữ liệu từ trình duyệt web và ghi lại các lần nhấn phím.
Các nhà nghiên cứu cho biết: “Những kẻ tấn công đã dành một số nỗ lực liên quan đến tên miền được sử dụng cho trang web của họ, cố gắng giống với tên chính thức nhất có thể”. “Các trang web giả mạo, trong hầu hết các trường hợp, là bản sao giống hệt của các trang web hợp pháp.”
Những phát hiện này được đưa ra chưa đầy một năm sau khi Trend Micro tiết lộ một chiến dịch Purple Fox sử dụng các gói phần mềm bị nhiễm độc adobe, Google Chrome, Telegram và WhatsApp làm phương tiện truyền bá FatalRAT.
Chúng cũng xuất hiện trong bối cảnh quảng cáo Google bị lạm dụng rộng rãi hơn để phân phát nhiều loại phần mềm độc hại hoặc cách khác, đưa người dùng đến các trang lừa đảo thông tin xác thực.
Trong một diễn biến liên quan, Nhóm Threat Hunter Team của Symantec đã làm sáng tỏ một chiến dịch phần mềm độc hại khác nhắm mục tiêu vào các thực thể ở Đài Loan bằng một phần mềm cấy ghép dựa trên .NET không có giấy tờ trước đây có tên là Frebniis.
Symantec cho biết: “Kỹ thuật được Frebniis sử dụng liên quan đến việc tiêm mã độc vào bộ nhớ của tệp DLL (iisfreb.dll) liên quan đến tính năng IIS được sử dụng để khắc phục sự cố và phân tích các yêu cầu trang web bị lỗi”.
“Điều này cho phép phần mềm độc hại theo dõi lén lút tất cả các yêu cầu HTTP và nhận ra các yêu cầu HTTP được định dạng đặc biệt do kẻ tấn công gửi, cho phép thực thi mã từ xa.”
Công ty an ninh mạng cho biết vụ xâm nhập là do một tác nhân không xác định, cho biết hiện tại họ không biết làm cách nào để có được quyền truy cập vào máy Windows chạy máy chủ Dịch vụ thông tin Internet (IIS).
